۵ راه سرقت ارزهای دیجیتال چیست؟

دارندگان بیت کوین حواستان باشد! ۵ راه برای سرقت ارزهای دیجیتال شما وجود دارد که در این مقاله این روش‌ها و راه‌های جلوگیری از آن‌ها ارائه شده است.

برخلاف افزایش قیمت بیت کوین و سایر ارز‌های دیجیتال در ۲۰۲۰، مقدار سرقت‌های انجام شده به وسیله‌ی هک واقعاً کمتر از سال ۲۰۱۹ بود. طبق گزارش Ciphertrace مقدار کل ارز دیجیتال دزدیده شده تقریبا ۴۶۸ دلار تخمین زده شده است.

بیشتر دزدی‌ها در سال ۲۰۲۰ مربوط به پروژه‌های DeFi است که بیانگر عدم تکامل این بخش که به سرعت رشد کرد، می‌باشد. با این حال سرقت ارز های دیجیتال در خدمات متمرکز زیاد است. برای مثال، در هک صرافی ​Kucoin معادل ۱۷۵ میلیون دلار ارز دزدیده شد. هک های دیفای تقریباً ۲۱٪ از حجم هک و سرقت ارز دیجیتال ۲۰۲۰ را تشکیل می‌دهند.

با این وجود، هکرها نه تنها پلتفرم‌های کریپتوکارنسی بلکه کاربران را نیز هک می‌کنند. روزانه در اینترنت مطالبی با عنوان چگونگی سرقت ارزهای دیجیتال و دسترسی هکرها به کیف پول و یا حساب صرافی کاربران، منتشر می‌شود.

در ادامه ۵ راه از سرقت ارز‌های دیجیتال را بررسی می‌کنیم:

هک از راه وبسایت‌های فیشینگ

فیشینگ نوعی حمله مهندسی اجتماعی است که برای سرقت داده های کاربر، از جمله عبارات ضمنی، کلیدهای خصوصی و اعتبار ورود به پلتفرم‌های ارز دیجیتال، استفاده می‌شود. معمولاً در حملات فیشینگ از ایمیل‌های جعلی استفاده می‌شود تا کاربر را متقاعد کند اطلاعات مهم را در یک وبسایت جعلی وارد کند. دریافت کننده بر روی لینک جعلی کلیک کرده و وارد وبسایت های جعلی می‌شود و یا بدافزار ها را بر روی سیستم کاربر نصب می‌کند.

یکی از حملات فیشینگ، MyEtherWallet بود که در ۲۰۱۷ اتفاق افتاد. مجرمان سایبری با ارسال ایمیل به مشتریان MyEtherWallet گفتند که برای مطابقت با هارد فورک اتریوم نیاز به همگام سازی کیف پول خود دارند. پس از کلیک بر روی لینک، کاربر به یک وبسایت فیشینگ منتقل شد که قانونی به نظر می‌رسید اما یک شخص دیگری وجود داشت که به سختی در URL دیده می‌شد. کاربران بی توجه اطلاعات خصوصی، کلید خصوصی و پسورد کیف پول های خود را وارد می‌کردند و اطلاعات مورد نیاز هکرها را ارائه می‌دادند و در نتیجه ارز های دیجیتال خود را از دست می‌دادند.

آخرین حمله فیشینگ موفق، حمله به کیف پول‌های Ledger​ کاربران بود. سارق با استفاده از یک ایمیل فیشینگ، کاربران را به یک نسخه جعلی از وبسایت Ledger وارد می‌کرد که همانند پرونده قبلی MyEtherWallet جایگزین یک homoglyph در URL می‌شود. در وبسایت جعلی، کاربران بی خبر، بدافزارهایی را که به عنوان یک به روزرسانی امنیتی معرفی شده اند نصب کرده و سپس ارز هایشان از کیف پول Ledger سرقت می‌شد. این مثال نشان دهنده ی آن است که حتی کاربران کیف پول سخت افزاری نیز در برابر حملات فیشینگ محافظت نمی‌شوند.

حملات مشابه برای کاربران صرافی کریپتو اتفاق افتاد. به این معنا که کاربران پیامی با لینک به وبسایتی را دریافت می‌کنند که با وبسایت اصلی یکی است اما URL آن کمی دستکاری شده است.

بنابراین، هکر ها نام کاربری و پسورد را هک می‌کنند و تحت شرایطی ارز دیجیتال را از کیف پول صرافی سرقت می‌کنند. از آنجا که صرافی ها سرویس های امنیتی و محافظتی را ارائه می‌دهند، کاربران فرصت دارند که از خود در برابر حملات محافظت کنند.

سرقت کلید API 

برخی از تریدرها از ابزار های معامله ی خودکار به نام “ربات معامله گر” استفاده می‌کنند. در این نوع سخت افزار ها کاربر باید کلید API ایجاد و بعضی از دسترسی ها را مجاز کند. به همین دلیل ربات ها می‌توانند به سرمایه ی شما دسترسی داشته باشد. زمانی که کاربر کلید API را ایجاد کرد، صرافی اجازه ی دسترسی به مجوزهای زیر را می‌خواهد.

View: مشاهده هرگونه داده مربوط به حساب کاربری مانند سابقه معاملات، سابقه سفارش، سابقه برداشت، مانده، برخی از داده های کاربر و غیره را فراهم می‌کند.

Trading: اجازه ایجاد و لغو سفارشات را می‌دهد.

Withdrawal: امکان برداشت وجوه را فراهم می‌کند.

IP whitelist: اجازه می‌دهد تا معاملات فقط از طریق آدرس های IP انجام شوند.

برای کلید API ربات های معامله گر، صرافی باید دسترسی به مشاهدات، معامله و گاهی اوقات برداشت را داشته باشد.

راه های مختلفی برای سرقت کلیدهای API کاربران توسط هکرها وجود دارد. به عنوان مثال، هکرهای اینترنتی اغلب ربات های معامله با عنوان”سودآوری بالا” را که به صورت رایگان در دسترس هستند، ایجاد می‌کنند تا کاربر را برای وارد کردن کلیدهای API خود به سمت خود جذب کنند. اگر کلید API بدون محدودیت IP حق برداشت داشته باشد، هکرها فوراً همه ارز دیجیتال را از موجودی کاربر خارج می‌کنند.

طبق گزارش رسمی بایننس، ۷۰۰۰ هک بیت کوین پس از جمع آوری کلیدهای 2FA، API و سایر اطلاعات هک شد.

حتی بدون مجوز برداشت هکر ها با استفاده از یک استراتژی پامپ، یک جفت ارز دیجیتال معاملاتی با نقدینگی کم، ارز های دیجیتال کاربر را می‌دزدند. متداول ترین نمونه این حملات پامپ Viacoin و Syscoin است. هکرها کریپتوکارنسی را جمع کرده و با استفاده از سرمایه کاربر در زمان پامپ آنها را با نرخ های بسیار زیاد می‌فروشند.

سوء استفاده از فایل‌های دانلود شده

بسیاری از حملات صفر روزه (Zero Day) و یک روزه (one-day) برای نرم افزار های ماکروسافت از جمله ورد، اکسل و Adobe هستند که برنامه های ضد ویروس را تضمین می‌کند و بدافزار را شناسایی نمی‌کند و برای هکر ها دسترسی کامل به اطلاعات مورد نیاز هک و زیرساخت های داخلی را فراهم می‌کند.

Zero-day نقصی در نرم افزار، سخت افزار یا سیستم عامل است که برای طرف یا طرفین patching یا رفع اشکال ناشناخته است. اصطلاح “روز صفر” ممکن است به خود آسیب پذیری یا حمله ای گفته شود که بین زمان کشف آسیب پذیری و حمله اول Zero-day باشد. هنگامی که یک آسیب پذیری روز صفر مشخص شد، به عنوان یک آسیب پذیری “n-day” یا “one-day” شناخته می‌شود.

پس از شناسایی یک آسیب پذیری در نرم افزار، ایجاد یک کد ویروسی با استفاده از آسیب پذیری شناسایی شده برای ویروسی کردن رایانه های شخصی یا شبکه های رایانه ای شروع می‌شود. معروف ترین بدافزارهایی که از آسیب پذیری روز صفر استفاده می‌کند، WannaCry است، ویروسی که برای سرقت بیت کوین دستمزد می‌گیرد.

بسیاری از برنامه های مخرب دیگر وجود دارد که ممکن است به کیف پول های ارز دیجیتال کاربران و همچنین برنامه های صرافی ارز کریپتو با استفاده از حملات روز صفر دسترسی پیدا کنند. رایج ترین این نوع حمله، حمله ای در سالهای اخیر در بهره برداری از واتس اپ بود. در نتیجه، هکر ها اطلاعات را از کیف پول های ارز دیجیتال کاربران جمع آوری کرده بودند.

پلتفرم‌های مخرب

با توجه به رشد فعال بازار، هکر های دیفای برنامه های جدیدی می‌سازند که تقریباً شبیه پروژه های موجود است. پس از سرمایه گذاری کاربران در این پروژه ها، کلاهبرداران به راحتی وجوه کاربران را به کیف پول خود انتقال می‌دهند. بزرگترین اگزت اسکم، پرونده YFDEX است که هکر ها دو روز پس از راه اندازی پروژه، ۲۰ میلیون دلار از سرمایه کاربران را به سرقت بردند.

چنین اسکم هایی یک اتفاق معمولی است زیرا در اکثر موارد، اعضای تیم پروژه ناشناس هستند و هیچ تعهد قانونی وجود ندارد و پلتفرم ها ثبت نشده اند. قبل از این، چنین اسکم هایی عمدتاً با پروژه های ICO مرتبط بود.

همچنین موارد مشابه در پلتفرم های متمرکز رخ داده است. به عنوان مثال، QuadrigaCX، هنگامی که بنیانگذار صرافی متمرکز درگذشت، پلتفرم قادر به دسترسی به کیف پول های خود و پردازش برداشت های بیش از ۱۷۱ میلیون دلار اعتبار مشتری بود. در نتیجه، فقط ۳۰ میلیون دلار سرمایه از دست رفته قابل بازپرداخت است.

چنین مواردی دائماً بوجود می‌آیند، بنابراین شما باید قبل از انتقال پول خود، پلتفرم را به دقت بررسی کنید.

اپلیکیشن‌های جعلی

از زمانی که ارزهای دیجیتال وارد بازار شدند، بسیاری از برنامه های جعلی پلتفرم ها یا کیف پول های خاص ایجاد شده است. کاربر واریزی را برای چنین برنامه ای تکمیل می‌کند و متوجه می‌شود سرمایه خود را از دست داده است. هکر ها ممکن است یک کپی از برنامه موجود را با کد مخرب یا یک برنامه جدید برای یک پلتفرمی که فاقد برنامه است مانند ​Poloniex در سال ۲۰۱۷، ایجاد کنند.

از آنجا که بیشتر کیف پول های ارز دیجیتال متن باز هستند، هر کسی می‌تواند نسخه شخصی از کیف پول خود را ایجاد کند و یک کد مخرب در آنجا وارد کند. چنین مواردی در کیف پول های Trust رخ می‌دهد.

چگونه از به سرقت رفتن ارزهای دیجیتال خود جلوگیری کنیم؟

همانطور که در بالا گفته شد، هکر ها راه های مختلفی برای سرقت ارز های دیجیتال و داده های کاربر دارند. ما برای امنیت خود در برابر کلاهبرداران، راه های زیر پیشنهاد می‌دهیم.

۱- همیشه دامنه ای را که از آن ایمیل دریافت می‌کنید بررسی کنید.

۲- اگر پلتفرم هایی که از آنها استفاده می‌کنید چنین ویژگی هایی را ارائه می‌دهند، کد ضد فیشینگ را تنظیم کنید.

۳- فقط به صرافی های معتبر ارز واریز کنید. با استفاده از خدمات زیر می‌توانید رتبه بندی صرافی را بررسی کنید: CoinGecko ،CER.live ،CoinMarketCap ،Crypto و غیره.

۴- اگر پلتفرم هایی که از آنها استفاده می‌کنید چنین ویژگی هایی را دارند، وایت لیست ورود به سیستم را تنظیم کنید.

۵- همیشه قبل از تصمیم گیری برای نصب کیف پول ارز دیجیتال در تلفن خود، حتی اگر در لیست فروشگاه برنامه شما رتبه بالایی داشته باشد، آنرا بررسی کنید.

۶- محدودیت های IP را برای کلیدهای API تنظیم کنید.

۷- در پروژه هایی که اخیراً راه اندازی شده اند و هنوز هیچ گونه اطلاعاتی در مورد تیم، سرمایه گذاران و غیره ندارند، سرمایه گذاری نکنید. در جریان تبلیغات دیفای، کلاهبرداران ده ها پروژه اسکم را برای سرقت ارزهای دیجیتال از سرمایه گذاران ایجاد کردند.

۸- مطمئن شوید که اسناد و سایر فایل ها را از یک منبع معتبر دانلود کرده اید.

۹- همیشه به روزرسانی های امنیتی منظم برای سیستم عامل خود را انجام دهید.

۱۰- برنامه ها و بروزرسانی های مربوطه را فقط از وبسایت های رسمی دانلود کنید.

حرف آخر

همزمان با رشد بازار کریپتو، طرح های جدیدی برای سرقت ارز های دیجیتال و داده های کاربر ایجاد می‌شوند. کاربران باید درمورد ایمیل ها و سایر اعلان هایی که دریافت می‌کنند بسیار مراقب باشند.

در این مقاله، ۱۰ نکته در مورد چگونگی محافظت کاربران از خود در برابر هکر ها ارائه شد. اگر به این نکات توجه داشته باشید سرقت ارز‌های دیجیتال، اطلاعات یا سرمایه شما برای هکرها دشوار می‌شود.